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Vragen van het lid De Lange (VVD) aan de Minister van Volksgezondheid, 
Welzijn en Sport over Nederlandse patiëntgegevens in Belgische gevangenis 
(ingezonden 27 januari 2016). 

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) 
(ontvangen 18 februari 2016). 

Vraag 1 

Heeft u kennisgenomen van het artikel «Patiëntgegevens op straat» 1 en van 
de artikelen «Belgische gevangenen werken met Nederlandse patiëntendos¬ 
sier» en «Ziekenhuis «onaangenaam verrast» dat dossiers naar gevangenis 
gingen»? 2 

Antwoord 1 
Ja. 

Vraag 2 

Wat is uw reactie op de berichten dat Nederlandse patiëntendossiers terecht 
zijn gekomen in een Belgische gevangenis? Kunt u de reactie nader onder¬ 
bouwen met een oordeel? 

Antwoord 2 

Zie de antwoorden van de Minister van VenJ en mij op de vragen 3 een 4 van 
lid Oosenburg over dit zelfde onderwerp (ingezonden 27 januari 2016). 

Vraag 3 

Deelt u de mening dat het een zeer ongewenste situatie is dat patiëntendos¬ 
siers in handen komen van Belgische gedetineerden? Zo ja, wat gaat u eraan 
doen om dit direct te laten stoppen? 

Antwoord 3 

Zie de antwoorden van de Minister van VenJ en mij op vraag 4 van lid 
Oosenburg over dit zelfde onderwerp (ingezonden 27 januari 2016). 


1 http://www.omroepmax.nl/meldpunt/uitzending/tv/meldpunt-dinsdag-26-januari-2016/ 

2 http://nos.nl/artikel/2082729-belgische-gevangenen-werkten-met-nederlandse- 
patientendossiers.html en http://nos.nl/artikel/2082777-ziekenhuis-onaangenaam-verrast-dat- 
dossiers-naar-gevangenis-gingen.html 
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Vraag 4 

Bent u van mening dat de Isala Klinieken in Zwolle en het Amphia Ziekenhuis 
in Breda regels hebben overtreden door medisch dossier aan derden te 
geven zonder de uitdrukkelijke toestemming van de patiënt? Zo ja, welke 
wettelijke regels zijn overtreden? 

Antwoord 4 

Het is aan de Autoriteit Persoonsgegevens om te oordelen of in deze situaties 
de Wet bescherming persoonsgegevens (Wbp) is overtreden. De Autoriteit 
Persoonsgegevens kan hier dan indien nodig tegen optreden. 

Vraag 5 

Wat is uw oordeel over het feit dat het Isala Ziekenhuis in een reactie laat 
weten dat niet kan worden uitgesloten dat «gevangenen de patiëntendossiers 
toch hebben gezien» en dat als ze hadden geweten dat gedetineerden bij de 
werkzaamheden zouden worden betrokken ze «mogelijk» een andere keuze 
hadden gemaakt? 

Antwoord 5 

Het is de primaire verantwoordelijkheid van het ziekenhuis om dit proces 
zorgvuldig te regelen en hier een bewerkersovereenkomst voor op te stellen 
waarin precies is vastgelegd wie wat doet en dat dit conform wet- en 
regelgeving gebeurt. Indien dit proces niet goed is verlopen, is het in eerste 
instantie aan het ziekenhuis om de dienstverlener hier op aan te spreken. Bij 
eventuele overtreding van de wet- en regelgeving is het aan de Autoriteit 
Persoonsgegevens om in actie te komen. 

Vraag 6 en 8 

Ziet u gronden om maatregelen te nemen tegen de betrokken ziekenhuizen? 
Zo ja, bent u van plan om dit te doen? Zo nee, waarom niet? 

Ziet u nog een rol voor de Inspectie Gezondheidszorg (IGZ) om hier nader 
onderzoek naar te doen? Zo ja, gaat de IGZ dit onderzoeken? Zo nee, waarom 
niet? 

Antwoord 6 en 8 

De Inspectie voor de Gezondheidszorg heeft mij al aangegeven dat zij 
aandacht hebben voor de wijze waarop de bewerkersovereenkomsten zijn 
gesloten bij die ziekenhuizen die nog in transitie zijn van papieren naar 
digitale dossiers. Het is de verantwoordelijkheid van ziekenhuizen zelf om te 
onderzoeken of zij hiertoe voldoende maatregelen hebben getroffen. Ook 
heeft de Inspectie voor de Gezondheidszorg aangegeven de Nederlandse 
Federatie van Universitair Medische Centra en de Nederlandse Vereniging 
van Ziekenhuizen een briefte sturen om ziekenhuizen op hun verantwoorde¬ 
lijkheid te wijzen. 

Vraag 7 

Heeft u inmiddels contact gehad met de betrokken ziekenhuizen om de 
onwenselijke situatie stop te zetten? Zo ja, op welke wijze gaan de ziekenhui¬ 
zen de betrokken patiënten informeren? 

Antwoord 7 

Zie mijn reactie bij vraag 5, indien de regels zijn overtreden is het de 
verantwoordelijkheid van de ziekenhuizen om de patiënten hierover te 
informeren. De Autoriteit Persoonsgegevens is de toezichthouder die 
beoordeelt of, en zo ja welk, optreden is gewenst. 

Vraag 9 

Wat is uw reactie op het feit dat 5.600 dossiers van patiënten van het Sint 
Anna Ziekenhuis in Geldrop en 100 dossiers van patiënten van het Canisius 
Wilhelmina Ziekenhuis in Nijmegen via een algemeen toegankelijke internet¬ 
link voor iedereen zichtbaar zijn geweest? Kunt u de reactie nader onderbou¬ 
wen met een oordeel? 
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Antwoord 9 

Dit had niet mogen gebeuren en is zeer onwenselijk. De informatiebeveiliging 
van patiëntgegevens moet voldoen aan de geldende wet- en regelgeving. 
Ziekenhuizen zijn hier zelf voor verantwoordelijk en moeten voldoende 
maatregelen treffen om dergelijke incidenten te voorkomen. De Autoriteit 
Persoonsgegevens ziet toe op de naleving. De Inspectie voor de Gezond¬ 
heidszorg ziet toe op de veldnorm over informatiebeveiliging in de zorg 
wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig 
omgaan met medische persoonsgegevens. Indien persoonsgegevens 
daadwerkelijk zijn ingezien door derden die niet bevoegd waren tot kennisne¬ 
ming, komt de meldplicht van artikel 34a Wbp in beeld en zal de verantwoor¬ 
delijke moeten bezien of hij de Autoriteit Persoonsgegevens in kennis dient te 
stellen van het datalek en in sommige gevallen ook de betrokken patiënten 
van wie de gegevens zijn gelekt. 

Vraag 10 

Bent u van mening dat het Sint Anna Ziekenhuis in Geldrop en het Canisius 
Wilhelmina Ziekenhuis in Nijmegen regels hebben overtreden door elektroni¬ 
sche patiëntgegevens uit te wisselen met een derde partij via een onbevei¬ 
ligde internetlink? Zo ja, welke wettelijke regels zijn overtreden? 

Antwoord 10 

Het is aan de Autoriteit Persoonsgegevens om hierover te oordelen, zie ook 
mijn antwoord op vraag 9. 

Vraag 11 

Ziet u gronden om maatregelen te nemen tegen de betrokken ziekenhuizen? 
Zo ja, bent u van plan om dit te doen? Zo nee, waarom niet? 

Antwoord 11 

Het is niet mijn taak om maatregelen te nemen tegen de betrokken ziekenhui¬ 
zen. Het is aan de Autoriteit Persoonsgegevens en de Inspectie voor de 
Gezondheidszorg en aan om toezicht te houden op de hier in het geding 
zijnde wet- en regelgeving en zo nodig te handhaven. Wel heb ik de Inspectie 
voor de Gezondheidszorg gevraagd om hier bij inspectiebezoeken nadrukkelij¬ 
ker op te letten. 

Vraag 12 

Heeft u inmiddels contact gehad met de betrokken ziekenhuizen om deze 
onwenselijke situatie stop te zetten? Zo ja, op welke wijze gaan de ziekenhui¬ 
zen de betrokken patiënten informeren? 

Antwoord 12 

Sinds 1 januari 2016 geldt er op grond van artikel 34a Wbp een meldplicht 
voor datalekken. Organisaties moeten een melding doen bij de Autoriteit 
Persoonsgegevens zodra zij een ernstig datalek hebben en in sommige 
gevallen ook de personen inlichten van wie de gegevens zijn gelekt. Het is de 
verantwoordelijkheid van de ziekenhuizen om te bezien of melding hier op 
zijn plaats is. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld 
om organisaties te helpen bij het bepalen of er sprake is van een datalek dat 
zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de 
betrokkenen (Beleidsregels meldplicht datalekken, Stcrt. 2015, nr 46128). 

Vraag 13 

Ziet u nog een rol voor de IGZ om hier nader onderzoek naar te doen? Zo ja, 
gaat de IGZ dit onderzoeken? Zo nee, waarom niet? 

Antwoord 13 

Zie mijn eerdere antwoorden. De Inspectie voor de Gezondheidszorg heeft 
mij al aangegeven dat zij aandacht hebben voor de wijze waarop de 
bewerkersovereenkomsten zijn gesloten bij die ziekenhuizen die nog in 
transitie zijn van papieren naar digitale dossiers. Hiertoe zal de inspectie 
tevens de ziekenhuizen en veldpartijen op het belang van zorgvuldigheid bij 
het bewaken van de vertrouwelijkheid van medische gegevens wijzen door 
een brief te sturen aan de Nederlandse Federatie van Universitair Medische 
Centra en de Nederlandse Vereniging van Ziekenhuizen. Het is de verantwoor- 
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delijkheid van ziekenhuizen zelf om te onderzoeken of zij hiertoe voldoende 
maatregelen hebben getroffen. 

Vraag 14 en 15 

Kunt u een overzicht geven van de wet- en regelgeving waaraan medische 
instellingen moeten voldoen bij het laten digitaliseren van patiëntendossiers 
door derde partijen? Kunt u daarbij in het bijzonder ingaan op de bescher¬ 
ming van het medisch beroepsgeheim en de werking en reikwijdte van een 
geheimhoudingsplicht? 

Kunt u een overzicht geven van de wet- en regelgeving waaraan bedrijven 
moeten voldoen die in opdracht van medische instellingen patiëntendossiers 
digitaliseren? Zijn die bevoegd om zonder nadrukkelijke toestemming van de 
opdrachtgever werk aan derden uit te besteden? 

Antwoord 14 en 15 

In de Wbp staan regels over het verwerken van persoonsgegevens. Wanneer 
er sprake is van bijzondere persoonsgegevens (zoals gegevens betreffende 
iemands gezondheid) stelt de Wbp extra waarborgen. Aanvullend op de Wbp 
zijn voor wat betreft het medisch beroepsgeheim de Wet op de beroepen in 
de individuele gezondheidszorg en de Wet op de geneeskundige behande¬ 
lingsovereenkomst van toepassing. 

Medische instellingen zijn verantwoordelijk voor de informatiebeveiliging van 
patiëntgegevens. Deze patiëntgegevens vallen ook onder het medisch 
beroepsgeheim. De instellingen moeten uiterst zorgvuldig met deze gegevens 
omgaan. Wanneer zij medische dossiers laten digitaliseren door derde 
partijen, zal met deze partijen zorgvuldige afspraken worden gemaakt en een 
bewerkersovereenkomst worden gesloten. Een zogenaamde bewerker mag 
niets anders met de gegevens doen, dan datgene waarvoor opdracht is 
verstrekt. Daarnaast is de bewerker gehouden tot geheimhouding van de 
persoonsgegevens. 

Vraag 16 

Bent u voornemens om de bestaande wet- en regelgeving op het gebied van 
digitalisering van patiëntendossiers nog eens tegen het licht te houden? Zo 
ja, op welke punten verdient de huidige praktijk aanscherping? Zo nee, 
waarom niet? 

Antwoord 16 

Nee, de regels zijn voldoende duidelijk. Ziekenhuizen moeten er voor zorgen 
dat zij die regels nakomen, ook als zij werk uitbesteden aan derden. De Wbp 
biedt daarvoor handvaten. Toetsing aan die regels geschiedt in eerste 
instantie door de Autoriteit Persoonsgegevens. De Inspectie voor de 
Gezondheidszorg heeft een rol als de kwaliteit van zorg in het geding komt 
als gevolg van het onveilig omgaan met medische persoonsgegevens. 
Ondersteunend aan dit bestaande stelsel wordt op dit moment gewerkt aan 
de ontwikkeling van een ZORG-Cert, die zich richt op het voorkomen en 
genezen van netwerk gerelateerde veiligheidsincidenten. Een Cert is een 
Computer Emergency Response Team. Dit is een gespecialiseerd team van 
ICT-professionals, dat in staat is snel te handelen in het geval van een 
beveiligingsincident met computers of netwerken. 

Toelichting: 

Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden 
Klever (PVV), ingezonden 26 januari 2016 (vraagnummer 2016Z01443) en 
Oosenbrug (PvdA), ingezonden 27 januari 2016 (vraagnummer 2016Z01560). 
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